Skip to main content
SUPERVISOR
MasoudReza Hashemi
مسعودرضا هاشمی (استاد راهنما)
 
STUDENT
Shima Atefi tali
شیما عاطفی تالی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1389
Intrusion detection systems are among the important tools in network security that notify the networkadministrator of the intrusions or attacks by issuing alerts. These alerts do not necessarily contain useful information and because of the possibility of false alerts, they need further analysis to provide an accurate and complete report of the security status of network. Due to the large number of alerts, management and analysis of alerts cannot be performed manually by network administrator. Alert correlation is a promising method for reducing the number of alerts, deleting irrelevant alerts and finding logical relationship between them that provide a high-level view of the security situation for network administrators. Several correlation methods have been proposed so far, but each one of them have solved only some of the issues in the alert correlation and they are different in terms of performance and accuracy. However, in large networks and complicated attack methods,recognizing missing alerts and detecting new attack scenarios are novel challenges in this area. In this thesis, we propose a hybrid alert correlation system that is composed of two parts. In the firstpart, a causal correlation algorithm based on attack graph is used to detect known attacks. This algorithm has thecapability of hypothesizing missed alerts. In the second part, a correlation algorithm based on featuresimilarity is proposed to discover unknown attack scenarios. These two parts of the system work together and ifthe first part is not able to correlate a new alert, the second part is used to do it.Moreover, the proposed hybridsystem is able to detect attack graph defects.It can also aggregate similar alerts. Simulation results on DARPA2000 dataset confirm the accuracy and efficiency of the proposed system for real-time applications. Keywords: Network Security, Intrusion Detection System, Alert, Alert Correlation
سیستم‌های تشخیص نفوذ از جمله ابزارهای مهم در تأمین امنیت شبکه‌ها هستند که با صدور هشدارهای مختلف، مدیر شبکه را ازنفوذ یا حملات صورت گرفته آگاه می‌سازند. این هشدارها به تنهایی حاوی اطلاعات زیادی نیستند و به دلیل امکان وجود هشدارهای اشتباه، برای ارائه‌یگزارش امنیتی دقیق و کاملی از وضعیت شبکه نیاز به تحلیل بیشتری دارند. با توجه به تعداد بسیار زیاد هشدارهای صادرشده، مدیریت و تحلیل دستیآن‌ها برای مدیر شبکه امکان‌پذیر نیست. همبسته‌سازی هشدارها، روشی امیدبخش در تحلیل هشدارها است که با کاهش تعداد هشدارها، حذف هشدارهای نامربوط و تعیین ارتباط منطقی بین آن‌ها، دید سطح بالا و قابل‌فهمی از وضعیت امنیتی را برای مدیر شبکه فراهم می‌کند. تاکنون روش‌های همبسته‌سازی بسیاریپیشنهادشده‌اند که هر یک از آن‌ها به حل بخشی از مشکلات مطرح در همبسته‌سازی هشدارها پرداخته‌اند و به لحاظ صحت عملکرد و کارایی با یکدیگر متفاوت هستند. با این حال، با بزرگ شدن شبکه‌ها و پیشرفت روش‌ها و ابزارهای حمله، گم‌شدن هشدارها و انجام سناریوهای جدیدی از حمله از چالش‌های مطرح در این زمینه شده است. در این پایان‌نامه، یک سیستم همبسته‌سازی ترکیبی پیشنهاد می‌شود که از دو بخش تشکیل شده است. در بخش اول، از یک الگوریتم همبسته‌‌سازی سببی مبتنی بر گراف حمله، به منظور تشخیص حملات شناخته‌شده استفاده می‌‌شود که قابلیت فرضیه‌سازی هشدارهای گم‌شده را نیز دارد. در بخش دوم، یک الگوریتم همبسته‌سازی مبتنی بر تشابه ویژگی‌های هشدارها پیشنهاد شده است که امکان کشف حملات ناشناس را فراهم می‌کند. این دو بخش از سیستم در کنار یکدیگر عمل می‌کنند و درصورتیکه بخش اول قادر به همبسته‌سازی هشدار جدید نباشد، از بخش دوم استفاده می‌شود. علاوه بر این، سیستم ترکیبی پیشنهادی، قابلیت ثبت نقص‌های گراف حمله و تجمیع هشدارهای مشابه را خواهد داشت. نتایج شبیه‌‌سازی بر روی مجموعه داده‌یDARPA2000، صحت عملکرد و کارایی روش سیستم پیشنهادی برای کاربردهای بلادرنگ را تأیید می‌کند. کلمات کلیدی: 1- امنیت شبکه 2- سیستم تشخیص نفوذ 3- هشدار 4- همبسته‌سازی هشدار

ارتقاء امنیت وب با وف بومی